Bug 43164 - ERROR: Do not use the 'sss' backend as the default idmap backend!
Summary: ERROR: Do not use the 'sss' backend as the default idmap backend!
Status: ASSIGNED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-auth (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Иван Савин
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2022-07-06 17:26 MSK by Илья Демьянов
Modified: 2024-05-06 14:46 MSK (History)
5 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Илья Демьянов 2022-07-06 17:26:24 MSK 
На данный момент при вводе системы в AD-домен с помощью task-auth-ad-sssd и alterator-auth в smb.conf добавляются следующие строчки:

        idmap config * : range = 200000-2000200000
        idmap config * : backend = sss

Однако, это приводит к ошибке при вызове testparam с завершением с кодом -1:

>ERROR: Do not use the 'sss' backend as the default idmap backend!

Это, например, сказывается на некорректную работу kde5-network-filesharin:  https://bugzilla.altlinux.org/42703

>Because default idmap backend needs to be writable while 'sss' is a read-only backend.

https://samba-technical.samba.narkive.com/FI2cZO2f/why-is-the-sss-backend-verboten-as-a-default-idmap-backend

Приведение конфигурации, согласно примеру из man (8) idmap_sss, к виду:

        workgroup = MYDOMAIN

        idmap config MYDOMAIN : backend = sss
        idmap config MYDOMAIN : range = 200000-2000200000
        idmap config * : backend = tdb
        idmap config * : range = 100000-199999

решает проблему.
Comment 1 Иван Савин 2022-07-13 19:01:15 MSK 
Такой конфиг может привести к расхождению uid'ов пользователей в трастовых доменах. На данный момент не ясно как лучше поступить. Исправить конфиг на предложенный выше, или убрать ошибку в testparam.
Есть ещё предложение пропатчить самбу, чтобы можно было прописывать range по умолчанию в smb.conf.
Comment 2 Илья Демьянов 2022-08-12 09:07:50 MSK 
Я немного поэксперементировал, вроде вот так без ошибок:

idmap config MYDOMAIN : backend = sss
idmap config MYDOMAIN : range = 200000-2000200000
idmap config * : backend = tdb
idmap config * : range = 0-0

Не знаю, насколько это допустимо и не повлечет ли последствия.
Comment 3 Корытов Иван 2024-05-06 14:46:19 MSK 
(Ответ для Иван Савин на комментарий #1)
> Такой конфиг может привести к расхождению uid'ов пользователей в трастовых
> доменах. На данный момент не ясно как лучше поступить. Исправить конфиг на
> предложенный выше, или убрать ошибку в testparam.
> Есть ещё предложение пропатчить самбу, чтобы можно было прописывать range по
> умолчанию в smb.conf.

AFAIK sssd не работает нормально с трастовыми доменами и везде рекомендуют winbind. Может исправить эту ошибку хотя бы при подключении домена через sssd, т.к. это вариант по умолчанию?

В вики и документации для каждого домена предлагается прописывать диапазоны идентификаторов и задавать idmap по умолчанию как tdb:

https://www.altlinux.org/Trusts#%D0%98%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D1%82%D1%80%D0%B0%D1%81%D1%82%D0%BE%D0%B2_%D0%BD%D0%B0_LINUX-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%B0%D1%85

https://docs.altlinux.org/ru-RU/domain/10.2/html/samba/ch05s05.html